Académique Documents
Professionnel Documents
Culture Documents
UIT-T X.1157
SECTEUR DE LA NORMALISATION (09/2015)
DES TÉLÉCOMMUNICATIONS
DE L'UIT
Résumé
La Recommandation UIT-T X.1157 définit les capacités nécessaires pour assurer une détection des
fraudes et une réponse pour les applications des technologies de l'information et de la
communication (TIC) sensibles sur le plan de la sécurité. Le service de détection des fraudes et de
réponse assure la détection, l'analyse et la gestion des fraudes parmi les utilisateurs, les comptes, les
produits, les processus et les canaux. Il surveille et analyse les activités et les comportements des
utilisateurs au niveau des applications (et non au niveau des systèmes, des bases de données ou des
réseaux) et observe ce qui se passe à l'intérieur des comptes et parmi les comptes, via tout canal dont
disposent les utilisateurs. Il analyse aussi les comportements entre des utilisateurs, des comptes ou
d'autres entités en lien les uns avec les autres, à la recherche d'activités anormales, de corruptions ou
d'utilisations abusives. Il est très couramment utilisé dans des secteurs d'activité gérant l'argent de
clients, comme les services financiers, l'accès à distance aux entreprises, etc., mais est également
couramment utilisé pour détecter des fraudes internes et d'autres types d'activités non autorisées.
Historique
Edition Recommandation Approbation Commission d'études ID unique*
1.0 ITU-T X.1157 2015-09-17 17 11.1002/1000/12353
Mots clés
Système de détection des fraudes, gestion des fraudes.
____________________
* Pour accéder à la Recommandation, reporter cet URL http://handle.itu.int/ dans votre navigateur Web,
suivi de l’identifiant unique, par exemple http://handle.itu.int/11.1002/1000/11830-en.
NOTE
Dans la présente Recommandation, l'expression "Administration" est utilisée pour désigner de façon abrégée
aussi bien une administration de télécommunications qu'une exploitation reconnue.
Le respect de cette Recommandation se fait à titre volontaire. Cependant, il se peut que la Recommandation
contienne certaines dispositions obligatoires (pour assurer, par exemple, l'interopérabilité et l'applicabilité) et
considère que la Recommandation est respectée lorsque toutes ces dispositions sont observées. Le futur
d'obligation et les autres moyens d'expression de l'obligation comme le verbe "devoir" ainsi que leurs formes
négatives servent à énoncer des prescriptions. L'utilisation de ces formes ne signifie pas qu'il est obligatoire
de respecter la Recommandation.
UIT 2016
Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, par quelque procédé que ce
soit, sans l'accord écrit préalable de l'UIT.
1 Domaine d'application
La présente Recommandation fournit des lignes directrices sur les capacités techniques à utiliser
pour la gestion des fraudes dans les services exigeant un niveau de garantie élevé. Elle a pour
objectif de définir un système capable de détecter les activités frauduleuses. De nombreuses entités
commerciales et entreprises utilisant des applications des technologies de l'information et de la
communication (TIC) sensibles sur le plan de la sécurité pourront appliquer la présente
Recommandation pour déployer un système de détection des fraudes et de réponse. La présente
Recommandation est également applicable à la gestion des fraudes à l'intérieur d'une organisation
ainsi que des fraudes externes via un accès distant ou un service commercial. La présente
Recommandation porte sur:
– les capacités du service de détection des fraudes et de réponse;
– les opérations et les composants du système de détection des fraudes et de réponse; et
– des considérations relatives au service de défense et de réponse en cas d'incident.
2 Références
Aucune.
3 Définitions
4 Abréviations et acronymes
La présente Recommandation utilise les abréviations et acronymes suivants:
API interface de programmation d'application (application programming interface)
ATM distributeur automatique (automated teller machine)
5 Conventions
L'expression "il est obligatoire" indique une disposition qui doit être strictement suivie et par
rapport à laquelle aucun écart n'est permis pour pouvoir déclarer la conformité à la présente
Recommandation.
L'expression "il est recommandé" indique une disposition qui est recommandée mais qui n'est pas
absolument nécessaire. Cette disposition n'est donc pas indispensable pour déclarer la conformité.
L'expression "il est interdit" indique une disposition qui doit être strictement suivie et par rapport à
laquelle aucun écart n'est permis pour pouvoir déclarer la conformité à la présente
Recommandation.
L'expression "peut, à titre d'option" indique une disposition optionnelle qui est admissible, sans
pour autant être en quoi que ce soit recommandée. Elle ne doit pas être interprétée comme
l'obligation pour le fabricant de mettre en oeuvre l'option et la possibilité pour l'opérateur de réseau
ou le fournisseur de service de l'activer ou non, mais comme la possibilité pour le fabricant de
fournir ou non cette option, sans que cela n'ait d'incidence sur la déclaration de conformité à la
présente Recommandation.
6.1 Problématique
Des attaques par logiciels malveillants ont ciblé des services applicatifs basés sur les
télécommunications dans de nombreux types d'entreprises et de secteurs d'activité (par exemple les
services en ligne dans les secteurs du transport, des hôpitaux, etc.). Ces attaques deviennent une
préoccupation majeure et sont de plus en plus perpétrées au moyen de courriels de harponnage
ciblés et d'objets infectés de logiciels malveillants, par exemple des publicités, sur lesquels cliquent
les utilisateurs inexpérimentés. Ces méthodes ont été utilisées pour infecter les systèmes
informatiques de nombreuses organisations.
De nombreuses entités commerciales et entreprises sont exposées à des risques importants de perte
de données, d'accès inapproprié aux comptes et de transactions inappropriées, provenant de sources
externes ou internes. Il arrive souvent que des logiciels malveillants ciblés contournent les systèmes
de protection existants, et que les atteintes à la confidentialité des données résultantes ne soient
détectées qu'après une longue période et la survenue d'une importante exfiltration de données. La
preuve d'une activité malveillante est souvent cachée au vu et au su de tous, et n'est pas détectée
faute de capacité de surveillance ou en raison de l'incapacité de faire la distinction entre un cas
anormal d'utilisation d'une application ou d'un accès à des données et une activité normale. Par
exemple, il se peut qu'un client d'une banque ne s'aperçoive qu'une fraude a été commise que
lorsqu'il constatera l'absence de confirmation d'un compte dans son rapport de crédit, ou lorsqu'un
agent de recouvrement lui réclamera un paiement.
Les attaques par logiciels malveillants perpétrées contre des clients financiers et des employés
d'entreprises entraînent pour les victimes de graves atteintes à la réputation ou de graves préjudices
financiers. Elles sont de plus en plus couramment utilisées à l'encontre de comptes de particuliers
ou d'entreprises, afin de dérober des informations sensibles ou des fonds. Par conséquent, si les
processus opérationnels et les organisations ne sont pas structurés correctement pour gérer
efficacement la détection des fraudes, des alarmes ou des alertes importantes pourraient être
ignorées. Enfin, les attaques par logiciels malveillants peuvent être utilisées pour prendre le contrôle
de comptes d'utilisateurs, ou pour commettre une fraude ou dérober des ressources basées sur un
serveur.
4. Vérification
10. Vérification renforcée de l'autorisation
Capacités de surveillance
X.1157(15)_F02
Capacité Attribut de capacités (sous-groupe de capacités)
Capacités de détection
(Pré)traitement
Analyse
Normalisation et taxinomie des événements
des événements Analyse
Traitement des
événements Application des règles
en temps réel Analyse par corrélation
des événements
Extraction des Prise en charge d'une analyse
principaux attributs des événements
Détection
Mise à jour
des résultats Détection intelligente
de schéma de fraude
Notation et évaluation Notation des
des risques Détection propre à un service
événements de schéma de fraude
Evaluation des risques
multicanal
Analyse et évaluation
automatiques des risques
X.1157(15)_F03
Force de
Niveau de risque l'authentification/la vérification
• Activité à faible risque • Faible niveau de garantie
• Activité à risque moyen Attribution • Niveau moyen de garantie
• Activité à risque élevé • Niveau élevé de garantie
Vérification de la transaction
Echange d'informations
X.1157(15)_F04
Capacité Attribut de capacités (sous-groupe de capacités)
Série E Exploitation générale du réseau, service téléphonique, exploitation des services et facteurs
humains
Série J Réseaux câblés et transmission des signaux radiophoniques, télévisuels et autres signaux
multimédias
Imprimé en Suisse
Genève, 2016